Các lỗ hổng trong phần mềm nguồn mở Cocoapod có thể khiến Facebook, TikTok, Netflix và các ứng dụng khác trên iOS và macOS có nguy cơ bị tấn công.
Nhóm nghiên cứu tại công ty thử nghiệm và an ninh mạng EVA Information Security của Israel cho biết họ đã phát hiện ra một lỗi trong Cocoapod, một trình quản lý phụ thuộc được sử dụng rộng rãi để mã hóa các dự án phần mềm Swift và Objective-C. Trình quản lý phụ thuộc là một công cụ quan trọng trong quá trình phát triển phần mềm, cho phép các gói phần mềm được xác thực và ký bằng mật mã. Do đó, các vấn đề xảy ra với các công cụ như vậy sẽ tác động tiêu cực đến nhiều phần của phần mềm hoặc mạng.
Theo EVA Information Security, sự cố này có thể đã tồn tại từ năm 2014 do quá trình di chuyển không đồng đều đối với các máy chủ Cocoapod, dẫn đến hàng nghìn gói kho lưu trữ trở thành “mồ côi”, nghĩa là chúng không còn được liên kết với các tệp nguồn gốc và không thể truy ngược nguồn gốc. đến nguồn gốc của nó. Đây là lỗ hổng giúp kẻ tấn công thay thế mã nguồn gốc bằng mã độc của chúng.
Đại diện của nhóm viết trong một bài đăng trên blog: “Do những sai sót trong bảo mật hệ thống, các gói này có thể bị kẻ xấu chiếm quyền điều khiển và sau đó được sử dụng để tiêm mã độc vào các công cụ phát triển phần mềm của nhà phát triển”. “Bởi vì nó không bị phát hiện trong một thời gian dài, điều đó có nghĩa là hàng nghìn ứng dụng và hàng triệu thiết bị đã bị lộ trong nhiều năm.”
Vì nhiều ứng dụng có thể truy cập thông tin nhạy cảm của người dùng như thẻ tín dụng, hồ sơ y tế và tài liệu riêng tư nên tin tặc có thể khai thác lỗ hổng và cài đặt ransomware hoặc các loại mã độc khác để thu thập dữ liệu.
Nhóm nghiên cứu cũng cho rằng Apple đang “hỗn loạn” khi hầu hết các ứng dụng iOS và macOS đều được viết bằng Swift và Objective-C (bao gồm những cái tên phổ biến như TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger, v.v.) trung tâm”. . Do đó, hàng nghìn ứng dụng trên các nền tảng này có thể bị ảnh hưởng và “một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm sang phần lớn các thiết bị Apple, khiến hàng nghìn tổ chức bị thiệt hại về tài chính và danh tiếng”.
Theo nhóm nghiên cứu, lỗi nói trên hiện đã được khắc phục trên Cocoapod, nhưng việc nó không bị phát hiện trong gần một thập kỷ là điều đáng lo ngại. Tổ chức này khuyên các nhà phát triển nên kiểm tra mã nguồn sản phẩm của họ để xác định xem phần mềm có chứa lỗi hay không.
Apple vẫn chưa bình luận.
- Lỗ hổng chip Apple cho phép tin tặc lấy được khóa mã hóa
- Lỗ hổng khiến iPhone ghi lại thao tác gõ phím